elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware
| | |-+  Abril negro (Moderadores: Man-In-the-Middle, WHK, kub0x, fary)
| | | |-+  Proyecto Metamorph
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 6 7 8 Ir Abajo Respuesta Imprimir
Autor Tema: Proyecto Metamorph  (Leído 85,893 veces)
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Proyecto Metamorph
« en: 24 Abril 2009, 23:31 pm »

Metamorph


Autores:



-Arkangel
-Karcrack
-Hacker_Zero

Bueno lo prometido es deuda, dije que os mantendría informados sobre el desarrollo de éste proyecto y lo haré en éste post. Iré actualizando éste post según vayamos progresando en el desarrollo del proyecto, y así también se le dará la oportunidad a cualquiera de aportar sus ideas.

Próxima Versión:

La próxima versión será la v2.0. Con ésta versión el proyecto da un vuelco para dejar de ser una herramienta y convertirse en un entorno para la indetectabilización de malware, contanto con numerosas herramientas como un disassembler, editor hexadecimal, editor de recursos, buscador de firmas, etc.

Otra importante novedad es que en ésta versión utilizaremos las librerías Qt para el desarrollo de la GUI, lo que nos adelanta bastante trabajo y la la vez da unos resultados muy buenos.

Algunas de las nuevas características que tendrá la nueva versión son por ejemplo, que cuenta con un disassembler, lo que le permite al programa modificar el ejecutable a su antojo sin correr el riesgo de modificar opcodes que sin saber a qué pertenecen. Otra característica importante y que esperamos que dé buenos resultados es la opción de hacer un rebuild a la IAT, tanto sobreescribiendo la IAT original, como moviendola a otro sitio como cambiar la IAT por otra que sólo importe LoadLibraryA y GetProcAddress y encripte las otras apis y se encargue de cargarlas en tiempo de ejecución  :).


Desarrollo próxima versión: 20%




Versión 2.0 20%

Capturas:







Desarrollo

-GUI 90%
-Dll Debuger 70%
-Disassembler 60%
-Rebuild IAT 50%
-Buscador de Firmas 40%
-Editor Resource 10%
-Añadir Espacio Sección Ejecutable 100%
-Añadir Sección 100%




Versión 1.0 BETA 100%


Características:

-Visor PE
-Buscar espacio libre
-Redireccionar Entry Point
-Detección de ejecutables VB
-Forzar Metamorfosis Offset (Meepa)
-Forzar Metamorfosis Offset (Xor)
-Redireccionar Calls C/C++ y ASM (Recodeada, con algoritmo pseudoaleatorio, nunca genera exes iguales)
-Ofuscación mediante la inserción de saltos
-Cambiar el Case de los Imports


Versión BETA. El programa seguramente tenga numerosos fallos y el comportamiento puede no ser el esperado.

El programa sólo funciona bien con ejecutables compilados en ASM y C/C++. No es recomendable usarlo con ejecutables en VB o en Delphi debido a que creará un ejecutable corrupto con un 99% de certeza.

Es necesario que el ejecutable tenga espacio libre al final de la sección ejecutable, en caso contraro el programa no funcionará. En el caso de crear éste espacio a mano, dejar la zona a 0's

En algunos pc's el programa se cuelga al pulsar analizar. Debido a la imposibilidad de los autores de reproducir éste error, si alguien encuentra la causa sería de gran ayuda.

Lo más interesante de ésta versión BETA es el código fuente. Rogamos que cualquier recomendación, bug, cuelgue, ejecutable corrupto o cualquier tipo de problema sea comunicado para poder solucionarlo.

Probado con ejecutables compilados en C/C++ y FASM de los cuales en ningún caso provocó la corrupción del ejecutable.

El rating de eficacia es bastante alto, usando una combinación de RedirectCalls, Jmp Ofuscation y Change IAT Case quita una media de 10-15 antivurs de 20.

Lista de Bugs encontrados hasta el momento:
- En algunos PC's el programa se cierra al pulsar analizar.
- No funciona con ejecutables de 64 bits.
- El programa debería comprobar si existe la carpeta Tools.
- La función de ofuscación por jmp's puede romper el ejecutable, hay que depurarla más.

Descargar Herramienta
Descargar Código Fuente



Iré actualizando el post según vayamos progresando.

Saludos  ;).


« Última modificación: 21 Febrero 2010, 17:28 pm por Hacker_Zero » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Martin-Ph03n1X


Desconectado Desconectado

Mensajes: 1.059


SHOCYRIX


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #1 en: 24 Abril 2009, 23:35 pm »

Bien esperamos el codigo ...... gracia spor su comprencion .... no nos dejan una version beta de download de el 40% que llevan del programa?


En línea

  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #2 en: 24 Abril 2009, 23:40 pm »

El programa tiene finalizada la gui y el pe, las otras funciones con las que cuenta aún no están ligadas a la gui por lo que el programa aún no funciona, y no queremos sacar una beta hasta que dé sus primeros pasos  :). De aquí a 15 días pienso que tendremos avances importantes y seguramenta ya haya fecha para que los beta testers prueben y nos ayuden a mejorar.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: Proyecto Metamorph
« Respuesta #3 en: 24 Abril 2009, 23:59 pm »

suena interesante amigo

Saludos
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #4 en: 25 Abril 2009, 00:02 am »

aiiis... que bonito esta quedando y yo sin poder ayudar :-(

Suerte con el proyecto ;)

Saludos ;)

PD:Maldito Insti >:( :xD
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #5 en: 25 Abril 2009, 00:04 am »

Para la 2.0  ;D pero vete aprendindo C++!

Saludos  ;)
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Proyecto Metamorph
« Respuesta #6 en: 26 Abril 2009, 02:23 am »

Bueno, avance importante, dos funciones clave terminadas:

-Forzar Metamorfosis Offset (Meepa)
-Forzar Metamorfosis Offset (Xor)


Con éstas dos, la herramienta ya es capaz de realizar el método meepa y el método xor de forma automática. Se introduce en un listview la una lista de offsets a modificar y el programa ofusca esos offsets mediante éstos métodos.

Aparte de esas dos, están terminadas dos funciones que hacen básicamente lo que hace topo, buscar huecos en el ejecutable, llenarlos de nop's y redireccionar el entry point a esos huecos.

Nos vamos acercando   :).

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Martin-Ph03n1X


Desconectado Desconectado

Mensajes: 1.059


SHOCYRIX


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #7 en: 29 Abril 2009, 17:17 pm »

osease que podras editarlo pero cual es su intencion en muy pocas palabras... y en largos rasgos... hablando de  esta funcion?
En línea

  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"
Thor


Desconectado Desconectado

Mensajes: 1.177


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #8 en: 29 Abril 2009, 17:27 pm »

Tiene buena pinta.

¿A que os referís con esto?
Citar
Finalizado Creador BD (Delphi)
En línea

Martin-Ph03n1X


Desconectado Desconectado

Mensajes: 1.059


SHOCYRIX


Ver Perfil
Re: Proyecto Metamorph
« Respuesta #9 en: 29 Abril 2009, 17:28 pm »


*******

ya me fije bien es
BD=BasedeDatos=EN_Delphi
« Última modificación: 29 Abril 2009, 17:31 pm por Martin-Ph03n1X » En línea

  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"
Páginas: [1] 2 3 4 5 6 7 8 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
PROYECTO
Diseño Gráfico
kåhjî£ 1 2,832 Último mensaje 30 Julio 2004, 08:00 am
por Morris
Proyecto php « 1 2 ... 11 12 »
Sugerencias y dudas sobre el Foro
programatrix 111 29,846 Último mensaje 18 Septiembre 2005, 12:27 pm
por programatrix
duda con Cactus metamorph
Programación Visual Basic
[SMT] 5 3,420 Último mensaje 24 Junio 2008, 22:34 pm
por Xerok1!
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines